KR101003094B1 - Cyber attack traceback system by using spy-bot agent, and method thereof - Google Patents
Cyber attack traceback system by using spy-bot agent, and method thereof Download PDFInfo
- Publication number
- KR101003094B1 KR101003094B1 KR1020080100299A KR20080100299A KR101003094B1 KR 101003094 B1 KR101003094 B1 KR 101003094B1 KR 1020080100299 A KR1020080100299 A KR 1020080100299A KR 20080100299 A KR20080100299 A KR 20080100299A KR 101003094 B1 KR101003094 B1 KR 101003094B1
- Authority
- KR
- South Korea
- Prior art keywords
- host
- spy
- dangerous
- bot
- packet
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Abstract
본 발명은 도메인 상호간의 협력체계에 의존하지 않고도 해킹을 시도하는 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템에 관한 것이다. 이를 위해 본 발명은, 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버, 및 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버를 포함하며, 역추적 서버는, 각 위험 호스트를 통해 획득된 패킷정보를 참조하여 위험 호스트들을 경유하는 해킹 코드의 출발지점을 역 추적한다.
도메인, 호스트, 역추적, 스파이 봇 에이전트, 패킷
The present invention relates to a network attack location tracking method and system using a spy bot agent that tracks the location of an attacker who attempts hacking without relying on the cooperation system between domains. To this end, the present invention, through the host scanning backtracking server for detecting at least one dangerous host open port vulnerable to hacking, and transmitting and installing a spy bot agent to each detected dangerous host, through the installed spy bot agent And a spy bot management server for acquiring packet information of the packets entering and leaving each dangerous host, and the backtracking server refers to packet information obtained through each dangerous host to reverse the starting point of the hacking code via the dangerous hosts. To track.
Domain, host, traceback, spybot agent, packet
Description
본 발명은 네트워크 공격자의 위치를 추적하는 방법, 및 시스템에 관한 것으로, 특히 상호 배타적이고 비 협력적인 도메인 환경에서도 네트워크 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적방법, 및 시스템에 관한 것이다.The present invention relates to a method and system for tracking a network attacker's location, and more particularly, to a network attack location tracking method using a spy bot agent for tracking a network attacker's location even in a mutually exclusive and uncooperative domain environment. will be.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT 신성장동력핵심기술개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제 관리번호 2007-S-022-02, 과제명 : ALL-IP 환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].The present invention is derived from the research conducted as part of the IT new growth engine core technology development project of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. [Task Management No. 2007-S-022-02, Title: Intelligent Cyber in the ALL-IP Environment Development of Attack Monitoring and Tracking System].
네트워크를 통해 목표 호스트에 침입하고자 하는 공격자(해커)는 자신의 실제 네트워크 정보가 드러나지 않도록 하는데 많은 노력을 기울인다. 공격자는 목표 호스트에 직접 접속하지 않고 타 호스트를 경유하거나, 익명의 프록시 서버를 통해 우회하여 목표 호스트에 접근한다. An attacker (hacker) who tries to break into the target host through the network makes a lot of effort to keep his or her real network information from being revealed. The attacker accesses the target host through another host without directly accessing the target host or by bypassing an anonymous proxy server.
공격자가 목표 호스트에 접근하기 위해 타 호스트를 여럿 경유하는 경우, 공격자의 단말기에서 중간 경유지로 사용되는 호스트를 지날 때마다 패킷의 출발지점 과 목표지점이 계속 바뀌게 된다. 예컨대, 공격자의 단말기가 프록시 서버로 패킷을 전송할 때는 공격자의 단말기에 할당되는 IP가 출발지점이고, 프록시 서버의 주소가 목표지점이 되나, 공격자의 단말기에서 전송된 패킷을 프록시 서버가 목표 호스트로 전송할 때는 프록시 서버의 IP가 패킷의 출발지점이 되고, 목표 호스트의 IP가 목표지점이 된다. 만일, 공격자의 해킹이 성공하고, 추후, 목표 호스트의 관리자가 목표 호스트에 접속한 접속내역을 조사할 때, 관리자는 프록시 서버에서 접근했던 내역을 알 수 있을 뿐이다. If an attacker passes through multiple hosts to reach the target host, the packet's starting point and target point will change each time it passes through the host used as an intermediate stop in the attacker's terminal. For example, when the attacker's terminal sends a packet to the proxy server, the IP assigned to the attacker's terminal is the starting point, and the address of the proxy server becomes the target point. However, when the proxy server transmits the packet sent from the attacker's terminal to the target host. The IP of the proxy server is the starting point of the packet, and the IP of the target host is the destination. If the attacker's hack succeeds and later the administrator of the target host examines the connection history of the target host, the administrator can only know the details of access from the proxy server.
따라서, 공격자의 네트워크 공격을 차단하기 위해서 기본적으로 공격자의 위치가 어디인지, 공격자가 누구인지를 아는 것이 중요하다. 공격자가 해킹을 목적으로 목표 호스트로 접근할 때, 이를 실시간으로 인지하고 공격자의 위치를 탐지하는 과정이 요구되는데, 통상 이를 역추적(Traceback)이라 한다. 역추적은 TCP 연결 역추적(TCP Traceback), 및 IP 패킷 역추적(IP packer traceback) 방식 등이 주로 이용되며, IP 역추적 기술로는 Ingress Filtering, Logging, 해쉬 기반 IP 역추적, ICMP 역추적, IPsec 기반 역추적, 확률적 패킷 마킹 기술 등이 있다. Therefore, in order to block an attacker's network attack, it is basically important to know where the attacker is and who the attacker is. When an attacker approaches a target host for the purpose of hacking, it is required to recognize this in real time and detect the attacker's location. This is commonly referred to as traceback. TCP traceback, IP packer traceback, etc. are mainly used for the back trace. In back filtering, ingress filtering, logging, hash-based IP trace, ICMP trace, IPsec-based traceback, probabilistic packet marking technology.
한편, 상기한 역추적 방법은 단일 도메인에 속하는 호스트 사이에서의 역추적은 용이한 반면, 서로 다른 도메인에 속하는 호스트에 대해서는 역추적이 어려운 문제가 있다. 만일 A 도메인에 속하는 호스트에서 B 도메인에 속하는 호스트로 해킹이 의심되는 패킷이 전송되었다면, B 도메인에 속하는 호스트는 A 도메인으로 패킷의 출발지점 정보를 요청하여야 한다. 해킹이 의심되는 패킷이 더 많은 수의 도메인을 경유하여 목표 호스트로 침입한 경우, B 도메인에 속하는 호스트는 패킷이 경유한 각 도메인의 협력을 얻어야 공격자의 실제 출발지점을 파악할 수 있다. On the other hand, while the above traceback method is easy to trace back between hosts belonging to a single domain, the traceback is difficult for hosts belonging to different domains. If a packet that is suspected of being hacked is transmitted from a host belonging to domain A to a host belonging to domain B, the host belonging to domain B must request information about the origin of the packet to domain A. If a suspicious packet breaks into a target host via a larger number of domains, a host belonging to domain B can obtain the attacker's actual starting point by cooperating with each domain via the packet.
그러나, 각 도메인은 상호 협력적이지 않으며, 상대편 도메인에 대해 적대적인 경우도 많아 기존의 역추적 방법으로는 여러 도메인을 경유한 패킷의 실제 공격자 위치를 파악하는 것이 매우 어려운 실정이다. 이에 본 출원인은 상호 배타적이고 비 협력적인 도메인 환경에서도 네트워크 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적방법, 및 시스템을 제안하고자 한다.However, each domain is not cooperative and often hostile to the other domain. Therefore, it is very difficult to determine the actual attacker location of a packet through several domains by the conventional traceback method. Accordingly, the present inventors propose a network attack location tracking method and system using a spy bot agent that tracks the location of a network attacker even in mutually exclusive and non-cooperative domain environments.
따라서, 본 발명의 목적은 도메인 상호간의 협력체계에 의존하지 않고도 해킹을 시도하는 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템을 제공함에 있다.Accordingly, an object of the present invention is to provide a network attack location tracking method and system using a spy bot agent that tracks the location of an attacker who attempts hacking without relying on the cooperation system between domains.
또한, 본 발명의 다른 목적은 동일 도메인, 또는 서로 다른 도메인에 속하는 각 호스트들 중 보안이 취약한 곳에 공격자의 공격 탐지를 위한 스파이 봇 에이전트를 이식하고, 이를 통해 보안이 취약한 곳을 지속적으로 감시함으로써 공격자에 의한 피해를 최소화하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적 방법, 및 시스템을 제공함에 있다.In addition, another object of the present invention is to implant a spy bot agent for detecting the attacker's attack in the weak security of each of the hosts belonging to the same domain or different domains, through which the attacker by continuously monitoring the weak security To provide a network attack location tracking method and system using a spy bot agent to minimize the damage caused by.
상기한 목적은 본 발명에 따라, 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버, 및 상기 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버를 포함하며, 상기 역추적 서버는, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템에 의해 달성된다.The above object is a traceback server for detecting at least one dangerous host whose port is vulnerable to hacking through host scanning, and transmitting and installing a spy bot agent to each detected dangerous host according to the present invention. And a spy bot management server for acquiring packet information of packets entering and exiting each of the dangerous hosts through a bot agent, wherein the backtracking server comprises: each of the packets entering and exiting each of the dangerous hosts through the spy bot agent; This is achieved by a network attack location tracking system using a spy bot agent that tracks source and destination information for each host for dangerous packets that do not fall within the IP range assigned by the host.
상기한 목적은 본 발명에 따라, 복수의 호스트와 네트워크 접속되며, 스파이 봇 에이전트를 이용하는 네트워크 공격 위치 추적 시스템을 통해 수행되며, 상기 각 호스트에 대한 호스트 스캐닝을 수행하여 상기 호스트들 중 해킹 포트가 오픈 된 위험 호스트를 적어도 하나 판단하는 단계, 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 에이전트를 상기 각 위험 호스트에 설치하는 단계, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 획득하는 단계, 및 상기 위험 패킷이 상기 복수의 위험 호스트를 경유 시, 상기 위험 패킷에 대한 상기 각 위험 호스트의 근원지 정보와 목적지 정보를 참조하여 상기 위험 패킷의 실제 근원지 정보를 역 추적하는 단계에 의해 달성된다.According to the present invention, the above-mentioned object is network-connected with a plurality of hosts, is performed through a network attack location tracking system using a spy bot agent, and a hacking port is opened among the hosts by performing host scanning for each host. Determining at least one dangerous host, installing a spy bot agent for each dangerous host to obtain packet information of packets entering and leaving each dangerous host, and accessing each dangerous host through the spy bot agent. Acquiring source and destination information for each host for a dangerous packet that does not correspond to an IP range allocated by each dangerous host among the packets, and when the dangerous packet passes through the plurality of dangerous hosts, the dangerous packet Source information and destination of each of the above risk hosts for With reference to the information is accomplished by the step of tracking stations a real source information of the dangerous packets.
상기한 바와 같이 본 발명은 종래의 비 협조적인 도메인 협력관계에 의존하지 않고도 해킹, 또는 해킹이 의심되는 패킷의 진원지를 파악할 수 있다.As described above, the present invention can identify the origin of a hack or a packet suspected to be hacked without relying on conventional non-cooperative domain cooperation.
또한, 본 발명은 스파이 봇 에이전트를 각 도메인에 소속되는 호스트 중 보안이 취약한 곳에 이식하고, 원격지에서 각 호스트를 출입하는 패킷의 패킷정보를 획득함으로써 광범위한 지역에서 공격자를 추적, 및 탐지할 수 있다.In addition, the present invention is able to track and detect attackers in a wide range of areas by implanting a spy bot agent in a security-vulnerable place among the hosts belonging to each domain, and by obtaining packet information of packets entering and leaving each host from a remote location.
또한, 본 발명에 따른 스파이 봇 에이전트는 종래의 도메인에 소속되는 호스트 중 보안이 취약한 곳에 이식되어 공격자를 탐지할 뿐이므로, 종래의 네트워크 시스템을 전혀 변화시킬 필요가 없다. In addition, since the spy bot agent according to the present invention only detects an attacker by being implanted in a location where security is weak among hosts belonging to the conventional domain, there is no need to change the conventional network system at all.
또한, 본 발명은 각 호스트에 심어진 각 스파이 봇 에이전트를 통해 각 호스 트에 대한 접속 기록과 공격자 정보를 획득하므로 호스트에 대한 보안 사고가 발생 시, 책임소재의 규명이 용이하며, 이를 법적 증거물로 활용할 수 있다. In addition, the present invention obtains access records and attacker information for each host through each spy bot agent planted in each host, so when a security incident occurs on the host, it is easy to identify the responsible material and use it as legal evidence. Can be.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템(이하 역 추적 시스템이라 한다.)의 전체 개념도를 나타낸다.Figure 1 shows the overall conceptual diagram of a network attack location tracking system (hereinafter referred to as a reverse tracking system) using a spy bot agent according to the present invention.
본 발명에 따른 역 추적 시스템은 스파이 봇 관리 서버(200), 및 역추적 서버(300)로 구성된다. The backtracking system according to the present invention is composed of a spy
역 추적 서버(300)는 도메인에 소속되는 호스트(11, 12, 13, 도메인 A에 해당하는 호스트임)에 대해 호스트 스캐닝을 수행한다. 역 추적 서버(300)는 호스트 스캐닝을 통해 각 호스트(11, 12, 13)의 오픈 된 포트를 판단한다. 역추적 서버(300)는 각 호스트(11, 12, 13)의 오픈 된 포트의 수, 및 오픈 된 포트들 중 해킹 코드나 바이러스의 침투를 위해 흔히 사용되는 포트의 개방 여부를 판단한다. The
통상 방화벽이 설치된 호스트에는 호스트의 서비스 제공을 위한 포트 이외의 포트들은 차단되거나 포트 접속을 위해서 호스트의 허가를 필요로 한다. 그렇지 않다면 호스트는 역 추적 서버(300)에서 포트의 개방 여부를 확인하기 위해 보내는 패킷에 대부분 응답할 것이다. In general, a host installed with a firewall may block ports other than a port for providing a service of the host, or require the host's permission to access a port. Otherwise, the host will most likely respond to packets sent by the
다른 한편, 본 발명의 호스트 스캐닝은 해킹 툴이 호스트의 취약점을 찾는 것과 유사한 과정을 통해 호스트의 취약한 포트를 찾을 수 있다. 통상, 해킹 툴은 아래에 기재된 포트에 패킷을 전송하고 그에 대한 호스트의 응답 여부를 통해 해킹 에 적합한 포트를 찾는다.On the other hand, the host scanning of the present invention can find the vulnerable port of the host through a similar process as the hacking tool finds the host's vulnerability. Typically, the hacking tool sends packets to the ports described below and finds a suitable port for hacking through the host's response.
- 아래 --Down-
80 (www), 23 (telnet), 143 (imap), 110 (pop3) [all three, or none, are probed], 111 (sunrpc), 6000 (x11), 79 (finger), 53 (domain), 31337 (unassigned by IANA), 2766 (Solaris listen/nlps_server). 물론 역추적 서버(300)는 언급된 것 외에 다른 포트에 대해서도 스캐닝을 수행할 수 있으며, 본 발명의 역추적 서버(300)는 포트의 응답 여부를 통해 해킹에 취약한 호스트(이하, 위험 호스트라 한다.)를 찾거나 해킹 툴이 주로 이용하는 포트의 존재 여부를 통해 위험 호스트를 찾는 방법을 이용할 수 있으며, 두 방법 모두를 적용할 수도 있다.80 (www), 23 (telnet), 143 (imap), 110 (pop3) [all three, or none, are probed], 111 (sunrpc), 6000 (x11), 79 (finger), 53 (domain), 31337 (unassigned by IANA), 2766 (Solaris listen / nlps_server). Of course, the
역추적 서버(300)는 위험 호스트(10)를 판단 후, 위험 호스트(10)의 IP를 획득한다. 획득한 IP는 스파이 봇 관리 서버(200)로 통보되며, 스파이 봇 관리 서버(200)는 역추적 서버(300)에서 통보한 IP의 호스트(10)로 스파이 봇 에이전트(100)를 전송, 및 설치한다. 스파이 봇 에이전트(100)는 위험 호스트(10)로 잠입하여 설치된 후, 위험 호스트(10)의 관리자 계정을 획득하고, 이를 통해, 위험 호스트(10)를 출입하는 패킷을 분석하여 해킹이 의심되는 패킷을 찾는다.The
이후, 스파이 봇 에이전트(100)는 해킹이 의심되는 패킷(이하, 위험 패킷이라 한다)의 패킷정보를 스파이 봇 관리 서버(200)로 전송하고, 역추적 서버(300)는 스파이 봇 관리 서버(200)를 통해 이를 획득한 후, 패킷의 근원지 주소, MAC 주소, 및 목적지 주소를 참조하여 위험 패킷의 전달 경로를 판단한다. 이를 위해, 스파 이 봇 에이전트는 각 도메인(A, B, C)에 소속되는 각 호스트(예컨대 참조부호 10, 11, 12, 13 등)에 널리 분포됨이 바람직하다. 즉, 각 호스트(10 ∼ 13)에 분포된 스파이 봇 에이전트들이 위험 패킷이 자신의 호스트에 출입할 때마다 이를 스파이 봇 관리 서버(200)로 통보하고, 역추적 서버(300)는 Subsequently, the
만일 위험 패킷이 여러 호스트(10 ∼ 13 중 적어도 하나)를 경유하면서 위험 패킷의 실제 근원지 정보를 여러 호스트(10 ∼ 13)로 속인다 하더라도, 역추적 서버(300)가 각 호스트(10 ∼ 13)가 위험 패킷의 출입 내역을 알고 있다면 위험 패킷의 IP 세탁(패킷의 IP 주소를 변경하거나 속이는 것)을 즉각 판단할 수 있을 것이다.Even if the dangerous packet passes through multiple hosts (at least one of 10 to 13) and deceives the actual source information of the dangerous packet to the
여기서, 위험 패킷은,Here, the dangerous packet is
- IP 스푸핑을 통해 IP 세탁을 시도하는 패킷(특정 호스트에 SYN 공격을 수행하는 패킷(들)), Packets attempting IP laundering via IP spoofing (packet (s) performing a SYN attack on a particular host),
- 호스트가 네트워크 통신에 이용하는 IP 범위를 벗어나는 패킷,Packets outside the IP range that the host uses for network communication,
- 프록시 서버를 경유하여 자신의 실제 근원지 주소를 감추는 패킷, 및A packet that hides its actual source address via a proxy server, and
- 통상의 어플리케이션이 이용하지 않으며, 해킹 툴이 주로 이용하는 포트에 접근하는 패킷이 이에 해당한다.-A packet that accesses a port that a hacking tool mainly uses that is not used by a normal application corresponds to this.
IP 스푸핑을 위해서는 호스트와 접속되는 실제 클라이언트가 호스트와 접속하지 못하도록 하여야 한다. 이를 위해, 공격자는 클라이언트에 다량의 SYN 패킷을 발송하여 호스트와 실제 클라이언트 사이의 통신을 일정시간 차단한다. 이는 도 2를 함께 참조하여 설명하도록 한다.For IP spoofing, the real client connecting to the host should not be able to connect to the host. To do this, the attacker sends a large amount of SYN packets to the client, blocking the communication between the host and the actual client for a certain period of time. This will be described with reference to FIG. 2 together.
도 2는 IP 스푸핑을 위한 SYN 공격 방법을 개념적으로 나타낸다. 2 conceptually illustrates a SYN attack method for IP spoofing.
도시된 바와 같이, IP 스푸핑은 공격자(C)가 호스트(B)와 클라이언트(A) 사이의 통신을 차단하고, 자신이 클라이언트(A)를 대신하여 호스트(B)와 통신을 수행하는 방법이다. 공격자(C)는 클라이언트(A)에 다량의 SYN 패킷을 전송하여 클라이언트(A)를 마비시키고, 호스트(B)가 실제의 클라이언트(A)와 통신을 수행할 수 없도록 한다. As shown, IP spoofing is a method in which the attacker C blocks communication between the host B and the client A, and performs communication with the host B on its own behalf. The attacker (C) paralyzes the client (A) by sending a large amount of SYN packets to the client (A) and prevents the host (B) from communicating with the actual client (A).
정상적인 상황이라면 호스트(B)와 클라이언트(A) 사이에는 서로 SYN 패킷을 주고 받은 후, 데이터를 상호 전송한다. Under normal circumstances, the host B and the client A exchange SYN packets with each other, and then transmit data with each other.
통상의 경우 호스트(B)와 클라이언트(A)가 하나의 데이터를 주고 받기 위해 필요한 SYN 패킷은 수 개에 불과하나, 공격자(C)가 SYN 공격을 할 때는 수백 ∼ 수천 개의 SYN 패킷을 연속하여 호스트(B)로 보내어 호스트(B)와 실제 클라이언트(C)의 통신을 차단한다. 이후, 공격자(C)는 호스트(B)로 적당한 ACK 패킷을 보냄으로써 클라이언트(A)를 대신하여 호스트(B)와 접속을 수행한다.Normally, only a few SYN packets are required for the host B and the client A to send and receive a single data, but when the attacker C makes a SYN attack, the host continuously runs hundreds to thousands of SYN packets. Send to (B) to block communication between host B and actual client C. The attacker C then connects to the host B on behalf of the client A by sending the appropriate ACK packet to the host B.
역추적 서버(300)는 각 호스트(10 ∼ 13)에 잠입한 스파이 봇이 스파이 봇 관리 서버(200)를 통해 전송하는 패킷의 패킷정보를 참조하여 위험 패킷의 전달 경로를 추적한다. 이는 도 3과 도 4를 함께 참조하여 설명하도록 한다.The
먼저, 도 3은 위험 패킷이 공격자의 단말기(E)를 출발하여 공격자가 속하는 호스트(F)를 지나 타 도메인에 속하는 호스트(G)를 통해 목적 호스트(H)로 향하는 일 예를 나타낸다. 도면에서, 공격자의 단말기(E)에서 라우터(L0)를 경유하여 목적 호스트(H)로 향하는 위험 패킷의 패킷 정보(패킷의 헤더를 분석하여 얻을 수 있 다)에는 위험 패킷의 근원지 주소와 목적지 주소(호스트 E의 주소 -> 호스트 F의 주소), 및 라우터(L0)의 MAC 주소값(MAC_A)이 포함된다.First, FIG. 3 shows an example in which a dangerous packet leaves the attacker's terminal E and passes through the host F to which the attacker belongs and through the host G belonging to another domain to the destination host H. In the figure, packet information (obtained by analyzing the header of a packet) of a dangerous packet from the attacker's terminal E to the destination host H via the router L0 may be included in the source and destination addresses of the dangerous packet. (Address of host E-> address of host F), and MAC address value MAC_A of router L0.
그러나, 위험 패킷이 호스트(F)에서 호스트(G)로 향하게 되면, 위험 패킷의 근원지 주소와 목적지 주소는 호스트 F의 주소 -> 호스트 G의 주소에 해당한다. 따라서, 위험 패킷이 경유하는 호스트의 수가 많아질수록 공격자의 실제 근원지는 파악하기 어려워진다. 그러나, 위험 패킷의 MAC 주소는 바뀌지 않는다. 만일 스파이 봇 에이전트가 각 호스트(F, G, 및 H)에 잠입한 상태일 경우, 역추적 서버(300)는 스파이 봇 에이전트를 통해 라우터(L0)의 MAC 주소를 기준으로 하여 위험 패킷의 IP 세탁을 모두 파악할 수 있으며, 위험 패킷의 근원지가 라우터(L0)에 속하는 단말기(E) 임을 알아낼 수 있다.However, if a dangerous packet is directed from host F to host G, the source address and destination address of the dangerous packet correspond to the address of host F-> host G address. Thus, as the number of hosts traversed by dangerous packets increases, the actual origin of the attacker becomes harder to determine. However, the MAC address of the dangerous packet does not change. If the spy bot agent is infiltrating each host (F, G, and H), the backtracking
그러나, 모든 공격자가 자신의 MAC을 노출하지는 않는다. 이 경우는 도 4를 참조하여 설명하도록 한다.However, not all attackers expose their MACs. This case will be described with reference to FIG. 4.
도 4는 공격자가 라우터를 통해 호스트(N)에 침입하는 일 예를 나타낸다.4 shows an example in which an attacker invades the host N through a router.
도면에서, 공격자는 단말기(J), 공격자가 속하는 호스트(K), 및 라우터(L1, L2)를 거쳐 스파이 봇 에이전트가 잠입한 호스트(M)와 호스트(N)에 침투하고 있다. 라우터(L2)는 위험 패킷의 MAC 주소를 "MAC_B"에서 "MAC_C"로 변경한다. 여기서, MAC_C는 라우터(L2) 자신에게 할당된 MAC 주소에 해당한다. 이러한 과정을 통해 위험 패킷의 MAC 주소가 세탁되고, 스파이 봇 에이전트가 호스트(M, N)에만 잠입했을 경우, 역추적 서버(300)는 라우터(L2) 까지만 추적할 수 있다. 만일, 스파이 봇 에이전트가 호스트(K) 까지 잠입한 상태라면 MAC 주소의 세탁이 발생한다 하더 라도 역추적 서버(300)가 이를 즉각 파악할 수 있을 것이다. 즉, 본 발명에서 언급하는 스파이 봇 에이전트는 여러 호스트에 널리 퍼질수록 위험 패킷에 대한 탐지 능력이 증가한다. In the figure, the attacker has penetrated the host M and host N infiltrated by the spy bot agent via the terminal J, the host K to which the attacker belongs, and the routers L1 and L2. Router L2 changes the MAC address of the dangerous packet from "MAC_B" to "MAC_C". Here, MAC_C corresponds to the MAC address assigned to the router L2 itself. When the MAC address of the dangerous packet is washed through this process, and the spy bot agent infiltrates only the host (M, N), the backtracking
따라서, 스파이 봇 에이전트는 역추적 서버(300)가 찾아낸 위험 호스트(M, N) 이외에도, 스스로가 주변 네트워크를 스캐닝하여 새로운 위험 호스트를 찾아내고, 찾아낸 위험 호스트에 자신을 복제한 또 하나의 스파이 넷 에이전트를 심거나, 스파이 봇 관리 서버(200)로 새로이 찾아낸 위험 호스트의 정보를 보내어 새로운 스파이 봇 에이전트를 설치할 필요가 있다. Therefore, in addition to the dangerous hosts (M, N) found by the backtracking
도 5는 스파이 봇 에이전트의 내부 블록개념도를 나타낸다.5 shows an internal block diagram of a spy bot agent.
도시된 스파이 봇 에이전트는, 스캐닝 모듈(110), 네트워크 정보 획득모듈(120), 패킷 분석모듈(130), 및 리포트 모듈(140)을 구비한다.The illustrated spy bot agent includes a
스캐닝 모듈(110)은 위험 호스트에 잠입한 후, 잠입한 위험 호스트의 주변 호스트에 대해 호스트 스캐닝을 수행한다. 스캐닝 모듈(110)은 역추적 서버(300)와 동일한 방법에 의해 주변 호스트의 포트들 중 오픈 된 포트의 수, 및 해킹에 취약한 포트의 오픈 여부를 판단한다. 판단결과, 위험 호스트로 분류되는 타 호스트를 발견 시, 그 결과를 스파이 봇 관리 서버(200)로 통보한다. 만일, 새로이 발견된 호스트가 스파이 봇 에이전트가 잠입한 위험 호스트와 유사한 운영체제, 및 조건을 갖추고 있을 경우, 스캐닝 모듈(110)은 위험 호스트에 잠입한 스파이 봇 에이전트를 복제하여 새로이 발견된 호스트로 전송하여 설치할 수 있다.After infiltrating the dangerous host, the
네트워크 정보 획득모듈(120)은 호스트가 주변 클라이언트(또는 주변 호스 트)와 네트워크 통신에 이용하는 IP 범위에 대한 정보를 획득한다. 호스트는 자신이 제공하는 서비스의 종류에 따라 주로 이용하는 통신 포트가 있으며, 호스트에 할당되었거나, 스스로 할당한 IP 범위 내에서 클라이언트(또는 타 호스트)와 통신을 수행한다. 반면, 해킹을 하고자 하는 공격자는 호스트에 할당된(또는 호스트가 설정하는) IP 범위와 관계없이 임의의 IP를 이용하여 공격을 하는 경우가 많다. The network
따라서, 네트워크 정보 획득모듈(120)은 위험 호스트가 주로 이용하는 통신 포트나 IP 범위에 대한 정보를 획득하고, 이를 토대로 공격자의 해킹 시도 여부를 판단할 근거 자료를 획득한다. 네트워크 정보 획득모듈(120)은 위험 호스트의 통신 포트, 및 IP 범위에 대한 정보를 생성 후, 이를 데이터(150)의 형태로 저장한다. 데이터(150)는 스파이 봇 에이전트가 잠입한 위험 호스트의 저장장치(메모리, 또는 하드디스크)에 마련되거나, 스파이 봇 관리 서버(200)로 전송하여 스파이 봇 관리 서버(200)에서 데이터베이스의 형태로 저장, 및 구축될 수 있다. 또한, 네트워크 정보 획득모듈(120)은 호스트를 출입하는 패킷의 출입 내역이 기록되는 LOG 파일을 획득한다.Therefore, the network
LOG 파일은 추후 해킹과 같은 보안사고가 발생 시, 보안에 대한 책임 소재를 따질 때 이용될 수 있다.The LOG file can be used to account for security in the event of a security incident such as a hack.
패킷 분석모듈(130)은 네트워크 정보 획득모듈(120)을 통해 획득된 데이터(150)를 기준으로 하며, 호스트를 출입하는 패킷의 헤더를 분석하고, 분석된 패킷의 IP가 호스트 측 IP 범위에 해당하는지, 또는 벗어나는지를 판단한다. 또한, 패킷 분석모듈(130)은 호스트로 출입하는 패킷의 IP가 데이터(150)에 미리 정의된 프록시 서버의 주소에 해당하는지 판단하며, 스파이 봇 관리 서버(200)의 요청에 따라 특정한 MAC 주소를 갖는 패킷의 출입 여부, 및 출입 기록을 리포트 모듈(140)을 통해 스파이 봇 관리 서버(200)로 제공할 수 있다.The
리포트 모듈(140)은 스파이 봇 관리 서버(200)와 통신을 수행하며, 스파이 봇 관리 서버(200)로 패킷 분석모듈(130)에서 판단한 위험 패킷, 위험 패킷의 근원지 주소, 목적지 주소, 및 MAC 주소, 및 호스트의 LOG 파일을 전송한다. The
리포트 모듈(140)은 스캐닝 모듈(100)에 의해 발견된 새로운 위험 호스트에 대한 정보(IP)를 스파이 봇 관리 서버(200)로 전송한다. The
또한, 리포트 모듈(140)은 스파이 봇 관리 서버(200)가 통보하는 MAC 주소나, IP 주소에 해당하는 패킷의 존재 여부, 및 해당 패킷의 접속 경로(근원지 주소, 목적지 주소)를 패킷 분석모듈(130)에 통보하고, 패킷 분석모듈(130)로부터 그 결과를 통보받아 스파이 봇 관리 서버(200)로 제공할 수 있다.In addition, the
도 6은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법에 따른 흐름도를 나타낸다.6 is a flowchart illustrating a network attack location tracking method using a spy bot agent according to the present invention.
본 발명에 따른 역추적 시스템은 스파이 봇 관리 서버(200)와 역추적 서버(300)로 구성된다. 물론, 본 발명에 따른 역추적 시스템이 두 서버(200, 300)가 하나로 통합된 형태로 구현될 수도 있음은 물론이다. 따라서, 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법은 하나로 통합된 서버, 또는 두 개의 서버(200, 300)로 구획된 서버 중 어느 하나일 수 있으나, 그 동작 개념은 동일한 바, 따로 구분하여 설명하지는 않는다.The backtracking system according to the present invention comprises a spy
먼저, 역추적 시스템은 각 도메인에 위치하는 호스트로 호스트 스캐닝을 수행한다(S401). 역추적 시스템은 호스트 스캐닝을 통해 각 호스트의 오픈 된 포트의 수, 및 해킹에 취약한 포트의 오픈 여부를 판단할 수 있다. 오픈 된 포트가 많거나, 해킹에 취약한 포트가 오픈 된 호스트는 위험 호스트로 분류하며, 역추적 시스템은 해당 위험 호스트의 IP 정보를 획득한다(S402). 다음으로 역추적 시스템은 획득한 IP로 스파이 봇 에이전트를 전송하며, 스파이 봇 에이전트는 역추적 시스템이 지시한 IP로 잠입하고(S403), 잠입한 위험 호스트에서 관리자 권한을 획득한다(S404). 관리자 권한의 획득은 통상의 바이러스나 해킹 코드가 수행하는 것으로, 본 발명에 따른 스파이 봇 에이전트가 이와 동일한 기능을 수행하는 것이 일견 이상하게 보일 수 있다. 스파이 봇 에이전트는 호스트의 네트워크 정보를 획득하고, 호스트로 출입하는 위험 패킷을 조사하기 위해 관리자 권한이 필요한 것일 뿐, 호스트 자체에 대해 아무런 해도 끼치지 않는다. 다음으로, 스파이 봇 에이전트는 호스트를 출입하는 패킷을 분석하여 해킹이 의심되는 위험 패킷을 검출하고, 호스트를 출입한 패킷의 내역을 기록한 LOG 파일을 획득하여 스파이 봇 관리 서버(200)로 전송한다(S405). 이때, 스파이 봇 에이전트는 호스트가 주로 이용하는 TCP 통신 방식 대신 XML 소켓 통신 방식과 같이 잘 이용되지 않는 통신 방식을 이용하여 역추적 시스템과 데이터 통신을 수행하는 것이 바람직하다. First, the backtracking system performs host scanning with a host located in each domain (S401). The traceback system can determine the number of open ports of each host and whether ports are vulnerable to hacking through host scanning. Hosts that have many open ports or open ports that are vulnerable to hacking are classified as dangerous hosts, and the traceback system obtains IP information of the corresponding dangerous hosts (S402). Next, the backtracking system transmits the spy bot agent to the acquired IP, and the spybot agent infiltrates to the IP indicated by the backtracking system (S403), and acquires the administrator authority from the compromised dangerous host (S404). Acquisition of administrator authority is performed by a normal virus or hacking code, and it may seem strange that a spy bot agent according to the present invention performs the same function. The spy bot agent only needs administrator privileges to acquire the network information of the host and examine the dangerous packets entering and leaving the host, and does no harm to the host itself. Next, the spy bot agent analyzes packets entering and leaving the host, detects dangerous packets suspected of hacking, obtains a LOG file that records the details of packets entering and leaving the host, and transmits them to the spy bot management server 200 ( S405). In this case, it is preferable that the spy bot agent performs data communication with the backtracking system using a communication method that is not well used, such as an XML socket communication method, instead of the TCP communication method mainly used by the host.
도 1은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템의 전체 개념도,1 is a conceptual diagram of a network attack location tracking system using a spy bot agent according to the present invention;
도 2는 IP 스푸핑을 위한 SYN 공격을 개념적으로 나타내는 도면,2 conceptually illustrates a SYN attack for IP spoofing,
도 3은 위험 패킷이 공격자의 단말기를 출발하여 공격자가 속하는 호스트를 지나 타 도메인에 속하는 호스트를 통해 목적 호스트로 향하는 일 예를 개념적으로 나타내는 도면,3 is a diagram conceptually illustrating an example in which a dangerous packet leaves the attacker's terminal and passes through the host to which the attacker belongs to the destination host through a host belonging to another domain;
도 4는 공격자가 라우터를 통해 호스트에 침입하는 일 예를 나타내는 도면,4 is a diagram illustrating an example in which an attacker intrudes into a host through a router;
도 5는 스파이 봇 에이전트의 내부 블록개념도, 그리고5 is a conceptual block diagram of a spy bot agent, and
도 6은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법에 따른 흐름도를 나타낸다.6 is a flowchart illustrating a network attack location tracking method using a spy bot agent according to the present invention.
*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *
100 : 스파이 봇 에이전트 110 : 스캐닝 모듈100: spy bot agent 110: scanning module
120 : 네트워크 정보 획득모듈 130 : 패킷 분석모듈120: network information acquisition module 130: packet analysis module
140 : 리포트 모듈 200 : 스파이 봇 관리 서버140: Report Module 200: Spybot Management Server
300 : 역추적 서버300: traceback server
Claims (10)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080039433 | 2008-04-28 | ||
KR20080039433 | 2008-04-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090113745A KR20090113745A (en) | 2009-11-02 |
KR101003094B1 true KR101003094B1 (en) | 2010-12-21 |
Family
ID=41555034
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080100299A KR101003094B1 (en) | 2008-04-28 | 2008-10-13 | Cyber attack traceback system by using spy-bot agent, and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101003094B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102497362B (en) * | 2011-12-07 | 2018-01-05 | 北京润通丰华科技有限公司 | The network attack trace back method and device of Abnormal network traffic |
KR102035582B1 (en) | 2013-11-26 | 2019-10-24 | 한국전자통신연구원 | Apparatus and method for attack source traceback |
CN110297497B (en) * | 2019-06-11 | 2023-03-28 | 沈阳航空航天大学 | Multi-agent system consistency control method based on hybrid trigger mechanism under network attack |
-
2008
- 2008-10-13 KR KR1020080100299A patent/KR101003094B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20090113745A (en) | 2009-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10587636B1 (en) | System and method for bot detection | |
CN110445770B (en) | Network attack source positioning and protecting method, electronic equipment and computer storage medium | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
US8707440B2 (en) | System and method for passively identifying encrypted and interactive network sessions | |
US7076803B2 (en) | Integrated intrusion detection services | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US7222366B2 (en) | Intrusion event filtering | |
US7984493B2 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
JP2020521383A (en) | Correlation-driven threat assessment and remediation | |
KR100426317B1 (en) | System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor | |
US20060143709A1 (en) | Network intrusion prevention | |
US20040073800A1 (en) | Adaptive intrusion detection system | |
US20090044277A1 (en) | Non-invasive monitoring of the effectiveness of electronic security services | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
KR101487476B1 (en) | Method and apparatus to detect malicious domain | |
KR101003094B1 (en) | Cyber attack traceback system by using spy-bot agent, and method thereof | |
Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
KR20150026187A (en) | System and Method for dropper distinction | |
Bhumika et al. | Use of honeypots to increase awareness regarding network security | |
GB2418563A (en) | Monitoring for malicious attacks in a communications network | |
Hashim et al. | Computer network intrusion detection software development | |
Shiue et al. | Countermeasure for detection of honeypot deployment | |
Kamal et al. | Analysis of network communication attacks | |
KR102401661B1 (en) | SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131128 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20141208 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20151026 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20191211 Year of fee payment: 12 |